Monday, December 11th, 2017

Сервер ISA 2006 глазами хакера: Часть 1 – Внешние атаки

Published on Февраль 11, 2009 by   ·   Комментариев нет

Люди часто представляют брандмауэры в виде стены, в виде некоего волшебного решения всех проблем безопасности на предприятии. Брандмауэры дают людям чувство защиты. Тем не менее, брандмауэры не могут сделать сеть полностью защищенной, они лишь повышают уровень безопасности. Я считаю, что брандмауэры – это сито, и размер дыр этого сита зависит от того, как администрируется брандмауэр. Хакеры похожи на куски фруктов, которые не должны попасть в сок.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Легальным пользователям доступ сквозь сито разрешен. Однако безопасность внутри служб также важна, как и безопасность самого брандмауэра.

Я установил брандмауэр. Что дальше?

Дальше начинается самое трудное: вам нужно удостовериться, что брандмауэр выполняет все то, что, как вы думаете, он должен делать. Кроме того, вам нужно убедиться, что защита, предоставляемая брандмауэром, не уменьшится из-за плохого администрирования.

Из данной статьи вы узнаете:

  • Как тестировать сервер ISA 2006
  • Как сервер ISA 2006 реагирует на атаки.
  • Некоторые средства, использующиеся хакерами для атак ваших сетей.
  • Некоторые новые возможности сервера ISA 2006

Ниже на схеме показан общий вид примерной сети, которую бы будем использовать в нашей статье.

Isa актив систем для похудения

Схема 1:Пример сети

Доверяй, но проверяй

После установки ISA-сервера и создания основных правил, первое, что вы обязаны сделать, — это проверка. Проверив изнутри и снаружи свой брандмауэр, вы получите четкую картину реальной площади атаки. Первое, что делает хакер, когда он хочет атаковать систему, поиск любой возможной информации об объекте. Одним из самых ценных источников информации, которые может использовать хакер, является сканеры портов.

Администратор безопасности должен знать, как его система реагирует на сканирование, и какую информацию смогут получить хакеры при сканировании брандмауэра. Одним из самых известных средств для сканирования портов является Nmap. Nmap – это бесплатное средство с открытым кодом, которое поддерживает десятки методов сканирования, среди них и несколько режимов «невидимого сканирования». Найти Nmap и информацию о данном средстве можно на сайте Insecure.org

Внутри сетей, ориентированных на безопасность, обычно расположены системы IDS и IPS, которые могут определить сканирование портов, однако «невидимые» режимы сканирования могут и не обнаружиться. Просканируем нашу сеть. В данном примере на 80-м порту ISA-сервера опубликован web-сайт.

Isa актив систем для похудения

Рисунок 1:Основное сканирование Nmap (sS)

Nmap показал, что 80 порт открыт. Но ISA-сервер определил странную сетевую активность. Количество соединений, которое Nmap создает с брандмауэром, заставляет ISA-сервер записать в журнал сообщение о предупреждении.

Isa актив систем для похудения

Рисунок 2:Предупреждение об отклоненных соединениях в минуту

Это предупреждение пишется в журнал событий, и данное событие можно перехватить средствами наблюдения, например MOM.

Isa актив систем для похудения

Рисунок 3:Событие об отклоненных соединениях в минуту

Это предупреждение выдается новой функцией ISA-сервера уменьшение переполнения. Ниже вы узнаете о новых возможностях ISA-сервера подробнее.

Хотя Nmap использует невидимый SYN-метод, ISA-сервер обнаруживает трафик и отклоняет все соединения, кроме тех, что направлены на 80-й порт.

Isa актив систем для похудения

Рисунок 4:Отклоненный трафик

Если ISA-сервер отклоняет пакет, то соединение прерывается. Сканер портов не знает, закрыт ли порт или на нем просто установлен фильтр. Другим методом является использование фрагментированных пакетов для сканирования цели, однако, поскольку ISA-сервер работает только на компьютерах под управлением Windows, по умолчанию Windows отклоняет весь фрагментированный трафик. Сканирование фрагментированными пакетами не принесет никакого результата.

По умолчанию сервер ISA 2006 не пишет предупреждения или события о сканировании портов. Для изменения такого поведения необходимо активировать функцию определения сканирования портов:

Isa актив систем для похудения

Рисунок 5:Включение определения сканирования портов (Шаг 1)

Isa актив систем для похудения

Figure 6:Включение определения сканирования портов (Шаг 2)

После включения этих функций ISA-сервер будет записывать в журнал предупреждения о сканировании портов на основе выбранного вами критерия.

Если произвести сканирование после этих изменений, вы увидите следующее.

Isa актив систем для похудения

Рисунок 7:Предупреждение о сканировании портов

Пишется в журнал и событие.

Кроме того, Nmap предлагает и другие методы сканирования:

Нулевое сканирование (Null-сканирование)

Из помощи по Nmap: “Нулевое сканирование (sN)не устанавливает никаких битов (флаг заголовка tcp — 0)”

Результат нулевого сканирования ISA-сервера:

Isa актив систем для похудения

Рисунок 8:Предупреждение о нулевом сканировании

Isa актив систем для похудения

Рисунок 9:Событие нулевого сканирования

Isa актив систем для похудения

Рисунок 10:Событие нулевого сканирования

Nmap не нашел открытых портов, хотя 80-й порт был открыт.

Isa актив систем для похудения

Рисунок 11:Результаты нулевого сканирования

Isa актив систем для похудения

Рисунок12:Трафик в журнале брандмауэра

FIN-сканирование

Из помощи по Nmap:”FIN-сканирование устанавливает только FIN-бит TCP.

Результаты FIN-сканирования ISA-сервера:

ISA-сервер не записывает в журнал никаких предупреждений или событий, однако Nmap не нашел открытых портов, хотя 80-й порт был открыт.

Isa актив систем для похудения

Рисунок 13:Результаты FIN-сканирования

Isa актив систем для похудения

Рисунок 14:Трафик в журнале брандмауэра

Xmas-сканирование

Из помощи по Nmap: “Xmas-сканирование устанавливает флаги FIN, PSH и URG, украшая ими пакет, как новогоднюю елку.

Результаты Xmas-сканирования:

ISA-сервер не записывает в журнал никаких предупреждений или событий, однако Nmap не нашел открытых портов, хотя 80-й порт был открыт.

Isa актив систем для похудения

Рисунок 15:Результаты Xmas-сканирования

Isa актив систем для похудения

Рисунок 16:Трафик в журнале брандмауэра

TCP ACK-сканирование

Из помощи по Nmap: “ACK-сканирование проводит сканирование пакетами, у которых установлен только флаг ACK (если вы не использовали —scanflags. При сканировании систем, незащищенных фильтрами, порты open (Открытые)и closed (Закрытые) возвращают RST-пакет. Nmap помечает их, как unfiltered (Без фильтра),что означает, что они могут достигаться ACK-пакетом, но открыты они или закрыты неизвестно. Те порты, от которых нет ответа, или которые возвращают определенные сообщения об ошибках ICMP (тип 3, код 1, 2, 3, 9, 10 или 13), помечаются, как filtered (С фильтром)”

Результаты ACK-сканирования:

ISA-сервер не записывает в журнал никаких предупреждений или событий, однако Nmap не нашел открытых портов, хотя 80-й порт был открыт.

Isa актив систем для похудения

Рисунок 17:Результаты ACK-сканирования

Isa актив систем для похудения

Рисунок 18:Трафик в журнале брандмауэра

TCP connect-сканирование

При TCP Connect-сканировании Nmap использует операционную систему для создания нормального соединения с портами. Этот вид сканирования легко обнаруживается системами IDS, IPS и, конечно, ISA-сервером.

Результаты сканирования:

ISA-сервер пишет в журнал предупреждение и событие, Nmap находит, что порт 80 открыт.

Isa актив систем для похудения

Рисунок 19:Предупреждение о вторжении

Isa актив систем для похудения

Рисунок 20:Результаты сканирования

Isa актив систем для похудения

Рисунок 21:Трафик в журнале брандмауэра

TCP Window-сканирование

Из помощи по Nmap: ”Window-сканирование в точности похоже на ACK-сканирование, за исключением того, что оно использует детали определенных систем для разделения открытых и закрытых портов вместо того, чтобы помечать их как unfiltered(Без фильтра) при возвращении RST-пакета. Делается это путем проверки поля TCP Window возвращенного RST-пакета. В некоторых системах открытые порты используют положительный размер окна (даже для RST-пакетов), в том время как закрытые порты обладают нулевым окном. Поэтому при получении RTS-пакетов вместо создания списка нефильтрованых пакетов данный метод сканирования определяет открытые и закрытые порты в соответствии с положительным или нулевым размером окна”

Результаты данного сканирования:

ISA-сервер не записывает в журнал никаких предупреждений или событий, однако Nmap не нашел открытых портов, хотя 80-й порт был открыт.

Isa актив систем для похудения

Рисунок 22:Результаты TCP Window-сканирования

TCP Maimon-сканирование

Из помощи по Nmap: ” Maimon-сканирование названо так по имени открывателя данного метода, Юриэля Мэймона (Uriel Maimon). Он описал данный метод в журнале Phrack Magazine #49 (Ноябрь 1996). Nmap, использующий этот метод, был выпущен немногим позднее. Данный метод в точности повторяет Null, FIN и Xmas сканирования, за исключением того, что используется пакет FIN/ACK. В соответствии с RFC 793 (TCP), RST-пакет должен быть сгенерирован в ответ на такой пакет, в независимости от того, открыт порт или закрыт. Однако, Юриэль отмечает, что многие системы на основе BSD просто отклоняют такие пакеты, если порт открыт

Результаты TCP Maimon-сканирования:

ISA-сервер не записывает в журнал никаких предупреждений или событий, однако Nmap не нашел открытых портов, хотя 80-й порт был открыт.

Isa актив систем для похудения

Рисунок 23:Предупреждение об отклоненных соединениях

Isa актив систем для похудения

Рисунок 24:Результаты сканирования

sS sN sF sX sT sW sM
Определение открытых портов Да Нет Нет Нет Да Нет Нет
Появление события Да Нет Нет Нет Да Нет Нет
Появление предупреждения Да Нет Нет Нет Да Нет Нет
Обнаружение сканирования Да Да Нет Нет Да Нет Нет
Отклонение трафика Да Да Да Да Да Да Да

Таблица 1: Сканирование портов сервера ISA 2006

Реакция на сканирование портов

ISA-сервер может реагировать на атаки, выполняя при появлении предупреждений определенные действия.

Isa актив систем для похудения

Рисунок 25:Настройка предупреждений

Isa актив систем для похудения

Рисунок 26:Изменение предупреждения об определении вторжения

Isa актив систем для похудения

Рисунок 27:Настройка действия по предупреждению

Создать сценарий, блокирующий весь трафик из источника атаки, очень просто.

«Отпечатки пальцев» брандмауэра

В Nmap есть возможность определения операционной системы. Данная функция использует базу данных «отпечатков пальцев» стэка. Nmap и другие средства могут определять наличие брандмауэра в системе Windows, но для этого им нужен как минимум один открытый и один закрытый порт.

В Центе безопасности есть все известные уязвимости, и если злоумышленник попытается найти уязвимость серверов ISA 2004 и 2006, он не сможет ничего найти, кроме только одной уязвимости, которая верна для прокси, но не для брандмауэров!!.

Isa актив систем для похудения

Рисунок 28:Центр безопасности ISA 2004 – уязвимости

Заключение

Если злоумышленник возьмет на себя риск быть обнаруженным, он найдет все наши открытые порты. Следующим его шагом будет попытка атаковать опубликованные на брандмауэре службы.

Для этого злоумышленники используют такие средства обнаружения уязвимостей, как retina, nikto и т.д., но они не являются целью написания данной статьи.

Ваш брандмауэр может быть защищен, но если вы публикуете сервер NT 4 с wet-сайтом IIS 5, будьте уверены, что ваша сеть незащищена. Вы должны защитить все серверы и службы, особенно опубликованные.

В следующей части статьи мы увидим, как ISA-сервер реагирует на такие атаки из внутренней сети, как заражение ARP, спуфинг и атаку типа «man-in-the-middle».

www.isaserver.org


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]